O poder do titular dos dados não é absoluto!
Perante a Lei Geral de Proteção de Dados – LGPD brasileira, o titular pode solicitar ao controlador dos dados o porque do seu tratamento e inclusive pedir a exclusão pela revogação do consentimento ora dado, se for este a única hipótese de tratamento daquele dado.
Mais precisamente no parágrafo 1º e seguintes do artigo 18 da Lei 13.709:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
Interessante, não?
Algo que já temos visto as empresas no Brasil terem que se adequar, responder, compreender como funciona e se preparar, posto que o parágrafo 8º deixa muito claro que além da LGPD sobre privacidade o titular dos dados está também amparado pela lei consumerista.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
Entretanto, na Lei Européia – GDPR, mais precisamente numa decisão da suprema corte de Nuremberg na Alemanha, proferiu uma decisão que negou ao titular barrar o tratamento de dados, por compreender que o mesmo estava sem um motivo legítimo para isto
Tal decisão traz uma importante reflexão e até mesmo tese de defesa para as empresas diante do poder que a LGPD traz aos titulares de dados: Não se trata de um poder absoluto!
Se a motivação para a busca dos dados for limitada, podemos estar diante de uma mudança drástica da forma que a LGPD se aplica aos negócios, pois não será de forma tão objetiva e clara as possibilidades de barrar o tratamento de dados.
Importante destacar que no caso julgado pela corte alemã trata-se de uma empresa de seguros e a empresa comprovou estar de acordo com o Compliance exigido pela lei alemã.
Mais uma vez a importância da adequação correta, baseada nos fluxos, tecnologia, gestão, visão negocial, segurança entre outros pontos como fonte de percepção da autoridade de dados de que a empresa não tem responsabilidade ou necessidade de cumprir solicitações teratológicas dos titulares de dados.
** Gustavo Rocha: Professor de Pós Graduação, coordenador de grupos de estudos, membro de diversas comissões na OAB.
Fontes: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709
Beware the Motive Behind a Data Access Request